【文章內(nèi)容簡介】 LAN，并在邊界防火墻上設(shè)置符合等級保護三級要求的VLAN訪問控制策略。3) 部署訪問控制設(shè)備或設(shè)置訪問控制規(guī)則在各安全域邊界設(shè)置訪問控制規(guī)則，其中安全域邊界按照“安全域邊界”章節(jié)所列舉的邊界進行防護。訪問控制規(guī)則可以采用交換機訪問控制策略或模塊化邏輯防火墻的形式實現(xiàn)。二級系統(tǒng)安全域邊界訪問控制規(guī)則可以通過交換機的訪問控制規(guī)則實現(xiàn)，訪問控制規(guī)則滿足如下條件：u 根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級。u 按用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個用戶。三級系統(tǒng)安全域邊界的安全防護需滿足如下要求：u 根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；u 對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層協(xié)議命令級的控制。4) 入侵檢測系統(tǒng)部署：二級系統(tǒng)、三級系統(tǒng)安全域內(nèi)應(yīng)部署入侵檢測系統(tǒng)，并根據(jù)業(yè)務(wù)系統(tǒng)情況制定入侵檢測策略，檢測范圍應(yīng)包含二級系統(tǒng)服務(wù)器、三級系統(tǒng)服務(wù)器、其他應(yīng)用服務(wù)器，入侵檢測應(yīng)滿足如下要求：u 定制入侵檢測策略，如根據(jù)所檢測的源、目的地址及端口號，所需監(jiān)測的服務(wù)類型以定制入侵檢測規(guī)則；u 定制入侵檢測重要事件即時報警策略；u 入侵檢測至少可監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；u 當檢測到攻擊行為時，入侵檢測系統(tǒng)應(yīng)當記錄攻擊源IP、攻擊類型、攻擊目的IP、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)能提供及時的報警信息。4. 信息安全管理建設(shè) 建設(shè)目標省公司信息系統(tǒng)的管理與運維總體水平較高，各項管理措施比較到位，經(jīng)過多年的建設(shè)，已形成一整套完備有效的管理制度。省公司通過嚴格、規(guī)范、全面的管理制度，結(jié)合適當?shù)募夹g(shù)手段來保障信息系統(tǒng)的安全。管理規(guī)范已經(jīng)包含了信息安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、信息系統(tǒng)的獲取、開發(fā)和維護、信息安全事故管理、業(yè)務(wù)連續(xù)性管理等方面，但與《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》存在一定的差距，需進行等級保護建設(shè)。通過等級保護管理機構(gòu)與制度建設(shè)，完善公司信息系統(tǒng)管理機構(gòu)和管理制度，落實《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》管理制度各項指標和要求,提高公司信息系統(tǒng)管理與運維水平。通過等級保護建設(shè)，實現(xiàn)如下目標：1) 落實《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》管理制度各項指標和要求。2) 在公司信息安全總體方針和安全策略的引導(dǎo)下，各管理機構(gòu)能按時需要規(guī)劃公司信息安全發(fā)展策略，及時發(fā)布公司各類信息安全文件和制度，對公司各類安全制度中存在的問題定期進行修訂與整改。3) 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等信息安全管理與運維工作明確，明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。4) 在安全技術(shù)培訓(xùn)與知識交流上，能擁有安全業(yè)界專家、專業(yè)安全公司或安全組織的技術(shù)支持，以保證省公司信息系統(tǒng)安全維護符合各類安全管理要求并與時俱進。5. 二級系統(tǒng)域建設(shè) 概述與建設(shè)目標二級系統(tǒng)域是依據(jù)等級保護定級標準將國家電網(wǎng)公司應(yīng)用系統(tǒng)定為二級的所有系統(tǒng)的集合，按分等級保護方法將等級保護定級為二級的系統(tǒng)集中部署于二級系統(tǒng)域進行安全防護，二級系統(tǒng)域主要涵蓋與二級系統(tǒng)相關(guān)的主機、服務(wù)器、網(wǎng)絡(luò)等。省公司二級系統(tǒng)主要包括內(nèi)部門戶（網(wǎng)站）、對外門戶（網(wǎng)站）、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)等共8個二級系統(tǒng)，除對外門戶外，其它七個內(nèi)網(wǎng)二級系統(tǒng)需按二級系統(tǒng)要求統(tǒng)一成域進行安全防護。二級系統(tǒng)域等級保護建設(shè)目標是落實《信息安全技術(shù)信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，實現(xiàn)信息系統(tǒng)二級系統(tǒng)統(tǒng)一成域，完善二級系統(tǒng)邊界防護，配置合理的網(wǎng)絡(luò)環(huán)境，增強二級系統(tǒng)主機系統(tǒng)安全防護及二級系統(tǒng)各應(yīng)用的安全與穩(wěn)定運行。針對《信息安全技術(shù)信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，保障系統(tǒng)穩(wěn)定、安全運行，本方案將二級系統(tǒng)域安全解決方案分為邊界防護、網(wǎng)絡(luò)環(huán)境、主機系統(tǒng)及應(yīng)用安全四個層面進行安全建設(shè)。 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全建設(shè)目標省公司下屬各地市公司網(wǎng)絡(luò)安全建設(shè)按照二級系統(tǒng)要求進行建設(shè)，通過等級保護建設(shè)，實現(xiàn)如下目標：1) 網(wǎng)絡(luò)結(jié)構(gòu)清晰，具備冗余空間滿足業(yè)務(wù)需求，根據(jù)各部門和業(yè)務(wù)的需求，劃分不同的子網(wǎng)或網(wǎng)段，網(wǎng)絡(luò)圖譜圖與當前運行情況相符；2) 各網(wǎng)絡(luò)邊界間部署訪問控制設(shè)備，通過訪問控制功能控制各業(yè)務(wù)間及辦公終端間的訪問；3) 啟用網(wǎng)絡(luò)設(shè)備安全審計，以追蹤網(wǎng)絡(luò)設(shè)備運行狀況、設(shè)備維護、配置修改等各類事件；4) 網(wǎng)絡(luò)設(shè)備口令均符合國家電網(wǎng)公司口令要求，采用安全的遠程控制方法對網(wǎng)絡(luò)設(shè)備進行遠程控制。 地市公司建設(shè)方案根據(jù)測評結(jié)果，地市公司信息網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備及技術(shù)方面主要存在以下問題：1) 網(wǎng)絡(luò)設(shè)備的遠程管理采用明文的Telnet方式；2) 部分網(wǎng)絡(luò)設(shè)備采用出廠時的默認口令，口令以明文的方式存儲于配置文件中；3) 交換機、IDS等未開啟日志審計功能，未配置相應(yīng)的日志服務(wù)器；4) 供電公司內(nèi)網(wǎng)與各銀行間的防火墻未配置訪問控制策略；5) 網(wǎng)絡(luò)設(shè)備采用相同的SNMP口令串進行管理；6) 未開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能，未限制非法登錄次數(shù)，當網(wǎng)絡(luò)登錄連接超時時未設(shè)置自動退出等措施；7) 缺少對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查與監(jiān)測措施；8) 未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；9) 未限制具有撥號訪問權(quán)限的用戶數(shù)量。針對以上問題，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》給出相應(yīng)整改方案如下：1) 關(guān)閉防火墻、交換機和IDS的telnet服務(wù)，啟用安全的管理服務(wù)，如SSH和。部分不支持SSH的交換機應(yīng)在交換機上限制可telnet遠程管理的用戶地址，實施配置如下（以思科交換機為例）：Routerconfig terminalRouter(config)accesslist 10 permit tcp eq 23 any（，如需配置某一網(wǎng)段可telnet遠程管理，可配置為：accesslist 10 permit tcp eq 23 any）Router(config)line vty 0 4（配置端口04）Router(Configline)Transport input telnet（開啟telnet協(xié)議，如支持ssh，可用ssh替換telnet）Router(Configline)exectimeout 5 0Router(Configline)accessclass 10 inRouter(Configline)endRouterconfig terminalRouter(config)line vty 5 15Router(Configline)no login(建議vty開放5個即可，多余的可以關(guān)閉)Router(Configline)exitRouter(Config)exitRouterwrite2) 修改網(wǎng)絡(luò)設(shè)備出廠時的默認口令，且修改后的口令應(yīng)滿足長度大于等于8位、含字母數(shù)字和字符的強度要求，其它不滿足此口令強度要求的，均應(yīng)要進行修改。部分樓層接入交換機，應(yīng)及時修改口令；交換機應(yīng)修改其SNMP口令串；防火墻口令應(yīng)滿足口令強度要求。交換機SNMP口令串修改實施步驟如下（以思科交換機為例）：Routerconfig terminal Router(config) no snmpserver munity COMMUNITYNAME1 RO （刪除原來具有RO權(quán)限的COMMUNITYNAME1）Router(config) snmpserver munity COMMUNITYNAME RO （如需要通過snmp進行管理，則創(chuàng)建一個具有讀權(quán)限的COMMUNITYNAME，若COMMUNITYNAME權(quán)限為RW,則將命令行中RO更改為RW）Router(config) snmpserver enable traps （允許發(fā)出Trap）Router(config)exitRouterwrite3) 交換機、IDS和防火墻等應(yīng)開啟日志審計功能，并配置日志服務(wù)器保存交換機、IDS和防火墻的日志信息。以思科交換機為例，日志審計和日志收集存儲于服務(wù)器實施配置如下：Routeconfig terminalRoute(config)logging on （啟用日志審計） Route(config)logging console notification （設(shè)置控制等級為5級：notification）Route(config)!Set a 16K log buffer at information level Route(config)logging buffered 16000 information （設(shè)置其大小為16K）Route(config)!turn on time/date stamps in log messages Route(config)service timestamp log datetime msec local showtimezone Route(config)!set monitor logging level to level 6 Route(config)logging monitor information Route(config)exit Route!make this session receive log messages Routeterminal monitor Routeconfig terminal Route(config)logging trap information （控制交換機發(fā)出日志的級別為6級：information）Route(config)logging （，如需修改服務(wù)器，可采用Route(config)no logging ，然后重新配置日志服務(wù)器）Route(config)logging facility local6 Route(config)logging sourceinterface FastEthernet 0/1 （設(shè)置發(fā)送日志的以太網(wǎng)口）Route(config)exit Routeconfig terminal Route(config)logging trap information Route(config)snmpserver host traps public （配置發(fā)送trap信息主機）Route(config)snmpserver trapsource Ethernet 0/1 Route(config)snmpserver enable traps syslog Route(config)exitRoute write4) 供電公司內(nèi)網(wǎng)與各銀行和移動或電信間的防火墻應(yīng)配置訪問控制策略保證供電公司信息內(nèi)網(wǎng)的安全。5) 根據(jù)《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省公司網(wǎng)絡(luò)設(shè)備口令?！秶译娋W(wǎng)公司信息系統(tǒng)口令管理規(guī)定》具體內(nèi)容如下：第四條 口令必須具有一定強度、長度和復(fù)雜度，長度不得小于8位字符串，要求是字母和數(shù)字或特殊字符的混合，用戶名和口令禁止相同。第五條 個人計算機必須設(shè)置開機口令和操作系統(tǒng)管理員口令，并開啟屏幕保護中的密碼保護功能。第六條 口令要及時更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不得超過3個月，并且不得重復(fù)使用前3次以內(nèi)的口令。用戶登錄事件要有記錄和審計，同時限制同一用戶連續(xù)失敗登錄次數(shù)，一般不超過3次。6) 所有網(wǎng)絡(luò)設(shè)備均應(yīng)開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能、限制非法登錄次數(shù)、當網(wǎng)絡(luò)登錄連接超時時自動退出等措施。以思科交換機為例，網(wǎng)絡(luò)登錄連接超時時自動退出實施如下：Routerconfig terminalRouter(Config)line con 0 配置控制口Router(Configline)exectimeout 5 0 設(shè)置超時5分鐘Router(Configline)exitRouter(Config)exitRouterwrite7) 部署桌面管理系統(tǒng)，對內(nèi)部網(wǎng)絡(luò)中的用戶網(wǎng)絡(luò)連接狀態(tài)進行實時監(jiān)控，以保證內(nèi)部用戶不可私自聯(lián)到外部網(wǎng)絡(luò)；配置桌面管理系統(tǒng)策略，對私自連接到外網(wǎng)的內(nèi)部用戶進行準確定位并阻斷內(nèi)外網(wǎng)互通。8) 在交換機上限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，通過限制某些網(wǎng)段網(wǎng)絡(luò)服務(wù)提高網(wǎng)絡(luò)通信流量。以思科交換機為例，實施配置如下：Routerconfig terminal Router(config) accesslist 101 deny tcp any （）Router(config) accesslist 102 deny tcp any ftp（）Router(config) ip nat translation maxentries 200（）Route(config)exitRoute write限制具有撥號訪問權(quán)限的用戶。由于營銷系統(tǒng)存儲EMC，需要進行遠程撥號維護；需要關(guān)閉遠程撥號服務(wù)，采用更為安全的管理維護方式。 主機安全 主機安全建設(shè)目標省公司及其各地市公司信息中心對主機進行了一定的安全策略配置，并建立相關(guān)安全管理制度，由專人負責主機安全運行與維護，總體安全性較高。但仍有一些安全問題亟待解決，如安全審計不嚴格、開啟非必須服務(wù)以及默認的用戶口令策略等。針對省公司及其地市公司二級系統(tǒng)主機存在的問題，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》，從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面進行主機安全等級保護建設(shè)與改造，以實現(xiàn)以下目標：1) 對主機的登錄有嚴格的身份標識和鑒別；2) 有嚴格的訪問控制策略限制用戶對主機的訪問與